Web App and API Attacks Surge 257% in Financial Services
2022/11/29 InfoSecurity — クラウド・セキュリティ・ベンダーの Akamai によると、過去 12ヶ月間に検出された Web アプリケーション/API への攻撃は、金融サービス分野においては前年比 3.5 倍に急増し、あらゆる業種の中で最多となっているという。同社の最新レポート Enemy at the Gates は、2021年10月1日から 2022年9月26日までの世界の顧客トラフィックの分析に基づいたものとなっている 。
同レポートでは、Web アプリや API を標的とする脅威の増加は、欧州の PSD2 (Payment Services Directive) のようなオープン・バンキングの義務化により、金融機関がデジタル・サービスにかける投資の増加に起因すると報告されている。
これらのテクノロジーは、銀行サービスをサードパーティ・プロバイダーに開放し、合理的なユーザー・エクスペリエンスの提供に役立つ一方で、企業の攻撃対象領域の拡大の要因にもなっている。
Web App/API に対する攻撃が3番目に多いのは銀行業であり、全体の 15%を占めている。
Akamai はレポートで、「これらのアプリケーションを構築する上で、セキュリティは大きな課題だ。これらの Web アプリケーションに存在する脆弱性は、リモート・コード実行 (RCE) や不正アクセスにつながる可能性がある。さらに、Webアプリケーションは、ログイン情報などの顧客の機密情報を取得/保存する機能を備えている。Web アプリケーションへの攻撃に成功した攻撃者は、機密情報の窃取が可能になる。より深刻なケースでは、ネットワークへのイニシャル・アクセスを獲得し、より多くの認証情報を取得し、横方向への移動もできるようになる。データ侵害だけでなく、盗まれた情報は密売される可能性があり、また、他の攻撃に使われる可能性もある。金融サービス業界では、個人を特定できる情報や口座情報など、膨大な量のデータを保有しているために、このような事態は非常に懸念される」と説明している。
レポートの対象期間中に観測された RCE 攻撃のうち、検出数が最も増加したものは、ローカルファイル取り込み (LFI:Local File Inclusion) と、クロスサイト・スクリプティング (XSS:Cross Site Scripting) を起因とすると報告されている。
Akamai が確認している他のデータとしては、ボット活動 (81%) /DDoS 攻撃 (22%) などが前年比で大幅に増加しているとのことだ。顧客を標的としたフィッシング攻撃も急増しており、これには、悪名高いアクター Kr3pto によるフィッシング・キットなどの、多機能認証 (MFA) を回避する手法が含まれている。
実際に、銀行を標的とした攻撃の 80%は、銀行そのものではなく、顧客の口座に集中していたと報告されている。
Akamai の Advisory CISO である Steve Winterfeld は、「脅威アクターは、顧客のネットワークに侵入し、損害を与える方法を模索し続けている。企業は、攻撃の対象範囲を理解することで、主要なリスクを把握できる。その結果、セキュリティ対策や緩和策を考案し、顧客を適切に保護できるようになるだろう」と述べている。
この Akamai のレポート Enemy at the Gates : Analyzing Attacks on Financial Services は、タイトルが示すように金融サービスを対象としたものですが、チャートを多様しているので、サイバー攻撃全般を推測する上でも、とても見やすい内容となっています。Web での参照と、PDF のダウンロードが可能ですので、お薦めです。目次は、以下のとおりです。
02 Introduction
04 Table of contents
06 Growing security risk
14 Dangers posed by newly disclosed vulnerabilities
18 DDoS attacks
22 Financial services customers in the crosshairs
26 Phishing trends
30 The road to malware
32 Summary
よろしければ、カテゴリ Finamce も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.